DKIM: Unterschied zwischen den Versionen

Aus Hostsharing Wiki
Zur Navigation springen Zur Suche springen
(Beta)
 
(25 dazwischenliegende Versionen von 8 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[Kategorie:HSDoku]][[Kategorie:E-Mail]]
= DomainKeys Identified Mail (DKIM) =
= DomainKeys Identified Mail (DKIM) =


DKIM ist ein Verfahren, dass die Authentizität einer E-Mail sicherstellen kann. Dazu wird die E-Mail auf dem sendenden System mit einer elektronischen Signatur in den unsichbaren Headerzeilen der E-Mail versehen. Es kommt ein asymmetrisches Schlüsselverfahren zum Einsatz. Der sendende Server verwendet seinen privaten Schlüssel, um die Signatur zu erstellen.
DKIM ist ein Verfahren, dass die Authentizität einer E-Mail sicherstellen kann. Dazu wird die E-Mail auf dem sendenden System mit einer elektronischen Signatur in den unsichtbaren Headerzeilen der E-Mail versehen. Es kommt ein asymmetrisches Schlüsselverfahren zum Einsatz. Der sendende Server verwendet seinen privaten Schlüssel, um die Signatur zu erstellen.


Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.
Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.


{{Textkasten|gelb|Beta|Das Feature ist bei Hostsharing im Beta Test, bitte noch nicht für den produktiven Einsatz nutzen.}}
== DKIM bei Hostsharing aktivieren ==


== DKIM bei Hostsharing ==
Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Voraussetzungen notwendig:


Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Einrichtungsschritte notwendig:
# Die Veröffentlichung des öffentlichen Domainkey im DNS der eigenen E-Mail-Domain.
# Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.
 
=== Domainkey im DNS ===
 
==== Wenn ein individuell angepasstes Zonefile existiert ====
 
Wenn das Zonefile individuell angepasst wurde, muss es entweder den Platzhalter
 
<code>{DEFAULT_ZONEFILE}</code>
 
oder den Platzhalter


# Die Veröffentlichung des öffentlichen Domainkey im DNS der eigenen E-Mail-Domain.
<code>{DKIM_RR}</code>
# Das Setzen der Domain-Option "DKIM" mit Hilfe von HSAdmin.


== Domainkey im DNS ==
enthalten.


Zur Veröffentlichung des Domainkey muss das Zonefile der E-Mail-Domain erweitert werden. Dazu muss in einem individuell angepassten Zonefile die Zeile
Wenn das nicht der Fall ist, muss eine der beiden Zeilen ergänzt werden.


  {DKIM_RR}
==== Wenn das Zonefile nicht verändert wurde ====


ergänzt werden.  
Wenn kein Zonefile im etc-Verzeichnis der Domain vorhanden ist, bedeutet dies, dass das Default-Zonefile mit der Zeile "<code>{DEFAULT_ZONEFILE}</code>" genutzt wird.


Diese Zeile ist in der Beta-Phase nicht Bestandteil des Default-Zonefile! Domain-Inhaber, die ihr Zonefile bisher nicht angepasst haben, müssen also ein minimales Zonefile der Form
Die Veröffentlichung ddes Domainkeys ist dann mit einem einfachen "touch"-Befehl möglich.


  {DEFAULT_ZONEFILE}
<syntaxhighlight lang=shell>
  {DKIM_RR}
touch doms/hs-example.de/etc/pri.hs-example.de
</syntaxhighlight>


erstellen.
Daraufhin erstellt das System automatisch einen Domain-Key und veröffentlicht ihn.
Etwa drei Minuten nach dem "touch" liefert der Befehl


Nach einer erfolgreichen Veröffentlichung des Domainkey liefert der Befehl
<syntaxhighlight lang=shell>
dig -t TXT +short default._domainkey.hs-example.de @dns1.hostsharing.net
</syntaxhighlight>


  $ dig -t TXT +short default._domainkey.hs-example.de
("hs-example.de" durch die eigene Domain ersetzen)


("hs-example.de" durch die eigene Domain ersetzen) einen Schlüssel in der Form:
einen Schlüssel in der Form:


  v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"
<syntaxhighlight lang=ini>
v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"
</syntaxhighlight>


== Domainoption DKIM setzen ==
=== Domainoption DKIM ===


Über die Domainoption "DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.
Über die Domainoption "Domain Key – DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.


In der Beta-Phase ist das Setzen dieser Option nur über das Kommandozeilentool "hsscript" möglich. Mit "hsscript" müssen beim Update einer Domain jeweils alle Domainoptionen, die gesetzt sein sollen, angegeben werden!
Zum Anpassen der Domainoptionen wählt man in HSAdmin links den Punkt "Web-Paket" und im rechten Bereich im Menü die Auswahl "Domain". Bei Domains, die ab 3. September 2021 eingerichtet wurden, ist die Domainoption per Voreinstellung gesetzt,


Im Folgenden werden deshalb zunächst die Domainoptionen gelesen und anschließend mit der zusätzlichen Option "dkim" wieder geschrieben:
[[Datei:dkim-domain.png]]


  $ hsscript -u xyz00 -i
[[Datei:dkim-option.png]]
  Password: *********
  xyz00@hsadmin> domain.search({where:{name:'hs-example.de'}})
  [
    {
        domainoptions:[
          'htdocsfallback',
          'indexes',
          'autoconfig',
          'greylisting',
          'includes',
          'letsencrypt',
          'multiviews'
        ],
        hive:'h97',
        id:'22767',
        name:'hs-example.de',
        pac:'xyz00',
        since:'12.02.21',
        user:'xyz00-doms',
        validsubdomainnames:'www'
    }
  ]
  xyz00@hsadmin> domain.update({where:{name:'hs-example.de'},set:{domainoptions:[ 'htdocsfallback', 'indexes', 'autoconfig', 'greylisting', 'includes', 'letsencrypt', 'multiviews', 'dkim' ]}})
  [
    {
        domainoptions:[
          'htdocsfallback',
          'indexes',
          'dkim',
          'autoconfig',
          'greylisting',
          'includes',
          'letsencrypt',
          'multiviews'
        ],
        hive:'h97',
        id:'22767',
        name:'hs-example.de',
        pac:'xyz00',
        since:'12.02.21',
        user:'xyz00-doms',
        validsubdomainnames:'www'
    }
  ]
  xyz00@hsadmin> exit


== Beta Test ==
== DKIM deaktivieren ==


Mitglieder, die mit "hsscript" und Zonefile umgehen können, sind herzlich eingeladen am Test teilzunehmen. Das Wiederentfernen der DKIM-Option kann jedoch zu Schwierigkeiten bei der Zustellung ausgehender Mails führen. Das Abstellen in folgender Reihenfolge wird funktionieren:
Das Abstellen der DKIM-Option in folgender Reihenfolge wird funktionieren:


# Die Domainoption deaktivieren
# Die Domainoption deaktivieren
# Abwarten bis alle mit der Option (und damit mit einer Signatur) versendeten E-Mail zugestellt sind
# Abwarten bis alle mit der Option (und damit mit einer Signatur) versendeten E-Mail zugestellt sind
# Den Domainkey im DNS entfernen
# Den Domainkey im DNS entfernen
== DKIM bei Google ==
Die Server von ''gmail'' sind so eingestellt, dass E-Mails von Domains ohne DKIM oder SPF nicht zugestellt werden. Die Empfängerseite wird nicht informiert. An die Absenderseite geht eine Fehlermeldung in der Art:
<Blockquote>... host gmail-smtp-in.l.google.com[2a00:1450:4010:c0f::1a] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26  550-5.7.26  Authentication results: 550-5.7.26  DKIM = did not pass 550-5.7.26 ...</blockquote>
Dieser Google-Support-Artikel: [https://support.google.com/a/answer/81126 Richtlinien für E-Mail-Absender] (abgerufen am 26. Mai 2024) soll das erläutern.
Nach erfolgreicher Umstellung findet sich im Header einer E-Mail in Googles Posteingang Text in der Art:
<syntaxhighlight lang=ini>Authentication-Results: mx.google.com;
dkim=pass ...
spf=pass ...
</syntaxhighlight>


== Links ==
== Links ==


* [https://de.wikipedia.org/wiki/DomainKeys DKIM Artikel der Wikipedia]
* [https://de.wikipedia.org/wiki/DomainKeys DKIM Artikel der Wikipedia]
* [https://doc.hostsharing.net/referenz/zonefile/ Hostsharing-Dokumentation zur Anpassung des Zonefile]
* [https://www.hostsharing.net/doc/managed-operations-platform/zonefile/ Hostsharing-Dokumentation zur Anpassung des Zonefile]
* [https://doc.hostsharing.net/referenz/domain/domain-optionen.html Hostsharing-Dokumentation Domain-Optionen]
* [https://www.hostsharing.net/doc/managed-operations-platform/domain/#kap-domain-optionen Hostsharing-Dokumentation Domain-Optionen]

Aktuelle Version vom 7. November 2024, 09:56 Uhr

DomainKeys Identified Mail (DKIM)

DKIM ist ein Verfahren, dass die Authentizität einer E-Mail sicherstellen kann. Dazu wird die E-Mail auf dem sendenden System mit einer elektronischen Signatur in den unsichtbaren Headerzeilen der E-Mail versehen. Es kommt ein asymmetrisches Schlüsselverfahren zum Einsatz. Der sendende Server verwendet seinen privaten Schlüssel, um die Signatur zu erstellen.

Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.

DKIM bei Hostsharing aktivieren

Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Voraussetzungen notwendig:

  1. Die Veröffentlichung des öffentlichen Domainkey im DNS der eigenen E-Mail-Domain.
  2. Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.

Domainkey im DNS

Wenn ein individuell angepasstes Zonefile existiert

Wenn das Zonefile individuell angepasst wurde, muss es entweder den Platzhalter

{DEFAULT_ZONEFILE}

oder den Platzhalter

{DKIM_RR}

enthalten.

Wenn das nicht der Fall ist, muss eine der beiden Zeilen ergänzt werden.

Wenn das Zonefile nicht verändert wurde

Wenn kein Zonefile im etc-Verzeichnis der Domain vorhanden ist, bedeutet dies, dass das Default-Zonefile mit der Zeile "{DEFAULT_ZONEFILE}" genutzt wird.

Die Veröffentlichung ddes Domainkeys ist dann mit einem einfachen "touch"-Befehl möglich.

touch doms/hs-example.de/etc/pri.hs-example.de

Daraufhin erstellt das System automatisch einen Domain-Key und veröffentlicht ihn. Etwa drei Minuten nach dem "touch" liefert der Befehl

dig -t TXT +short default._domainkey.hs-example.de @dns1.hostsharing.net

("hs-example.de" durch die eigene Domain ersetzen)

einen Schlüssel in der Form:

v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"

Domainoption DKIM

Über die Domainoption "Domain Key – DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.

Zum Anpassen der Domainoptionen wählt man in HSAdmin links den Punkt "Web-Paket" und im rechten Bereich im Menü die Auswahl "Domain". Bei Domains, die ab 3. September 2021 eingerichtet wurden, ist die Domainoption per Voreinstellung gesetzt,

Dkim-domain.png

Dkim-option.png

DKIM deaktivieren

Das Abstellen der DKIM-Option in folgender Reihenfolge wird funktionieren:

  1. Die Domainoption deaktivieren
  2. Abwarten bis alle mit der Option (und damit mit einer Signatur) versendeten E-Mail zugestellt sind
  3. Den Domainkey im DNS entfernen

DKIM bei Google

Die Server von gmail sind so eingestellt, dass E-Mails von Domains ohne DKIM oder SPF nicht zugestellt werden. Die Empfängerseite wird nicht informiert. An die Absenderseite geht eine Fehlermeldung in der Art:

... host gmail-smtp-in.l.google.com[2a00:1450:4010:c0f::1a] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26 550-5.7.26 Authentication results: 550-5.7.26 DKIM = did not pass 550-5.7.26 ...

Dieser Google-Support-Artikel: Richtlinien für E-Mail-Absender (abgerufen am 26. Mai 2024) soll das erläutern.

Nach erfolgreicher Umstellung findet sich im Header einer E-Mail in Googles Posteingang Text in der Art:

Authentication-Results: mx.google.com;
dkim=pass ...
spf=pass ...

Links